Campanha atribuída ao ecossistema iraniano voltou a usar documentos com macro, DGA, C2 em HTTP e FTP e coleta de arquivos, capturas de tela e áudio em máquinas comprometidas.
| Componente | Operação Infy, também conhecida como Prince of Persia, com os malwares Foudre e Tonnerre escritos em Delphi. |
| Vetor | Documentos em persa com macro que extrai um pacote incorporado para o diretório temporário como fwupdate.temp e executa a carga após o fechamento do documento. |
| Impacto | Tonnerre amplia a intrusão com persistência, coleta de arquivos locais e em compartilhamentos de rede, capturas de tela, coleta em dispositivos removíveis, gravação de áudio e exfiltração por FTP. |
| Prioridade | Caçar execuções associadas a documentos com macro, artefatos temporários, cópia como helper.exe, conexões HTTP para validação de C2, uso de FTP de saída e resolução de domínios gerados por DGA. |
| Artefatos | Foram observados DGA com TLDs .site, .com e .win, domínio C2 defangado 638ffe48[.]site e IP defangado 185.141.61[.]37. |
| Alvos | A operação historicamente mirou vítimas no Irã, dissidentes iranianos, imprensa persa, diplomatas dinamarqueses, empresas israelenses e governo dos EUA; na atividade mais recente, houve vítimas persistentes na Turquia, incluindo uma universidade e um banco estatal de investimento. |
A operação Infy, também chamada de Prince of Persia, voltou a apresentar atividade após um período de baixa visibilidade. A campanha é antiga: há evidências de operação desde 2007, com histórico de alvos ligados ao Irã, à Europa, a dissidentes iranianos, à imprensa persa, a diplomatas e a organizações governamentais ou empresariais. A retomada observada mostra uma mudança importante no nível de disciplina operacional. Depois de perder acesso a grande parte das vítimas em uma ação de sinkhole anterior, o operador aparentemente reorganizou infraestrutura, refinou OPSEC e adicionou componentes que reduzem a exposição do conjunto completo de ferramentas.
A cadeia recente combina o malware Foudre com um segundo componente chamado Tonnerre. Foudre atua como estágio inicial e recupera uma carga criptografada em formato autoextraível depois de contatar o servidor de comando e controle. Tonnerre, também escrito em Delphi, expande as capacidades pós-comprometimento: coleta arquivos em diretórios comuns, enumera compartilhamentos de rede, monitora dispositivos removíveis, captura telas, grava áudio e usa FTP para transferir dados coletados. O desenho sugere uma divisão funcional: o componente inicial mantém menor superfície de análise, enquanto a carga maior é entregue quando o operador precisa de recursos adicionais.
O aspecto de inteligência de ameaças mais relevante é a continuidade técnica e operacional. A campanha preserva traços antigos, como uso de DGA para localização de C2, mas acrescenta mecanismos de validação com assinatura RSA, camuflagem como software legítimo e cadeias de execução acionadas por documentos. Também há sinais de adaptação após exposição pública: na amostragem mais recente, as vítimas observadas por registro de domínios DGA não incluíam sistemas iranianos, embora isso possa estar relacionado a filtragem, redirecionamento DNS ou outras medidas que não podem ser afirmadas de forma definitiva apenas com os dados disponíveis.
A cadeia de infecção descrita para 2020 parte de documentos de isca em persa. Um dos documentos continha a fotografia de Mojtaba Biranvand, governador da cidade de Dorud, na província iraniana de Lorestan, e texto associado ao gabinete do governador. A lógica maliciosa não dependia apenas de clique em link visível: a macro era disparada no fluxo do documento e extraía um pacote incorporado para o diretório temporário, usando o nome fwupdate.temp. A execução ocorria após o fechamento do arquivo, o que desloca o comportamento malicioso para um momento em que o usuário pode interpretar o documento como já encerrado.
Foudre estabelece contato inicial com a infraestrutura de comando e controle, valida o servidor e baixa uma carga criptografada em formato SFX. Esse arquivo inclui um executável e uma chave pública RSA, usada na validação posterior do servidor. As versões mais novas de Foudre passaram a baixar Tonnerre 11; versões anteriores também foram rastreadas, incluindo uma amostra relacionada a Foudre 8. Essa arquitetura permite que o operador mantenha o primeiro estágio mais enxuto e entregue a carga de coleta apenas quando a máquina comprometida for considerada útil.
Tonnerre é um binário grande, com cerca de 56 MB, e usa camuflagem por identidade visual e nomes de softwares legítimos. Uma versão foi apresentada como SilverSoft Speed; outra, como Synaptics. O malware contém textos embutidos copiados de notícias publicadas perto da data de compilação ou liberação das amostras, técnica também observada em Foudre. Esses textos ajudam a estimar que determinada amostra não é mais antiga do que a publicação citada e reforçam a relação entre os componentes, embora não substituam análise de infraestrutura e comportamento.
Na primeira execução, Tonnerre recebe um parâmetro de instalação, cria uma pasta, copia a si mesmo como helper.exe e configura persistência. O malware verifica um GUID associado à instalação e falha quando executado com valor incorreto ou em outro sistema, o que dificulta reprodução fora do ambiente original. Também há verificações ambientais: se o processo Deep Freeze estiver em execução, o malware encerra; se detectar pasta da Kaspersky Lab em %programfiles%, tenta reduzir exposição por meio de ciclo de espera após configurar persistência. Esses comportamentos são úteis para hunting porque criam desvios temporais e dependências ambientais incomuns em processos de usuário.
A superfície principal envolve estáções de trabalho Windows onde usuários abrem documentos com macro e onde controles de execução, macro e saída de rede permitem a continuidade da cadeia. O impacto real depende de a macro conseguir extrair e executar o pacote inicial, de Foudre conseguir resolver e validar C2 e de Tonnerre ser entregue como segundo estágio. A presença de diretórios comuns de usuário, compartilhamentos de rede e dispositivos removíveis aumenta o valor da máquina para o operador porque amplia a quantidade de arquivos acessíveis sem exigir necessariamente exploração adicional.
A operação historicamente se concentrou em alvos humanos e institucionais de interesse político. Foram citados alvos em Iran, dissidentes iranianos, membros da imprensa persa, diplomatas dinamarqueses, empresas israelenses e governo dos EUA. Na atividade mais recente, a análise de conexões e DNS passivo indicou poucas dezenas de vítimas e, entre os casos com conectividade persistente e checagem antes do contato com C2, dois alvos na Turquia: uma universidade e um banco estatal de investimento. A ausência de vítimas iranianas na amostra mais recente deve ser tratada com cautela, pois o próprio mecanismo de visibilidade pode ter sido afetado por mudanças de DNS ou filtragem regional.
O componente Tonnerre amplia a exposição para além do endpoint inicial. Ele coleta arquivos de pastas como documentos, downloads e imagens, acompanha eventos para tipos de arquivo específicos, enumera compartilhamentos de rede por funções do Windows como WNetOpenEnumW e WNetEnumResourceW, monitora mensagens WM_DEVICECHANGE para dispositivos removíveis e captura telas quando o protetor de tela não está ativo. Também há capacidade de gravação de áudio usando uma ferramenta externa; o comando operacional foi omitido, mas o efeito defensivo relevante é a criação de arquivos temporários de áudio e posterior envio pela cadeia de exfiltração.
- Endpoints Windows que permitem macros em documentos recebidos por usuários visados.
- Diretórios de usuário com documentos, imagens, downloads e arquivos de escritório monitorados pelo malware.
- Compartilhamentos de rede acessíveis pela sessão comprometida e dispositivos removíveis conectados ao host.
- Ambientes com saída HTTP e FTP sem inspeção suficiente para identificar validação de C2 e transferência de dados.
A investigação deve começar pelo ponto de entrada: documentos em persa ou documentos de origem incomum que acionam macro e criam artefatos temporários. O nome fwupdate.temp no diretório temporário é um artefato forte quando associado a um processo de documento. A transição temporal também importa: a execução após fechamento do documento pode aparecer em logs como processo filho ou atividade subsequente ao encerramento da aplicação de escritório. Controles de EDR devem correlacionar criação de arquivo temporário, execução de binário extraído e conexões de rede logo depois da interação com documento.
No estágio de rede, Foudre e Tonnerre usam DGA e validação de C2. O DGA observado tem início em 25 de dezembro de 2017 e usa TLDs como .site, .com e .win, com nomes derivados de ano, mês e semana. Um exemplo defangado é 638ffe48[.]site, observado resolvendo para 185.141.61[.]37 no período descrito. O malware também usa um feed RSS público para obter data atual antes de calcular domínios. A defesa não deve depender apenas de um domínio específico; o padrão de resolução, o encadeamento com checagem de conectividade e o contato subsequente com C2 são mais robustos para detecção.
Tonnerre cria outra trilha: cópia para helper.exe, persistência, verificações de ambiente e uso de FTP. O primeiro C2 usa HTTP, enquanto o segundo C2 usa FTP para armazenar dados coletados e fornecer comandos. A senha FTP é embutida no malware, mas o nome de usuário é derivado do nome do computador da vítima, previamente enviado ao C2 HTTP. Esse detalhe permite caçar sessões FTP cujo usuário coincide com hostname interno, especialmente quando originadas de estáções de trabalho que não deveriam transferir arquivos por FTP para a internet.
Em endpoint, sinais adicionais incluem enumeração de recursos de rede via mpr.dll, monitoramento de dispositivos removíveis, criação de capturas de tela quando não há protetor de tela ativo, uso de componentes de gravação de áudio e arquivos temporários associados à conversão ou armazenamento de áudio. A presença de verificações contra Deep Freeze e pasta Kaspersky Lab também pode aparecer em telemetria de acesso a processos e sistema de arquivos. Esses sinais isolados não provam comprometimento, mas ganham força quando correlacionados com documento de isca, DGA, HTTP de validação e FTP de saída.
- Documento de escritório criando
fwupdate.tempe iniciando execução após fechamento do arquivo. - Resoluções para domínios DGA com TLDs
.site,.comou.winseguidas por conexões HTTP de validação. - Sessões FTP externas em que o usuário de autenticação corresponde ao nome do computador interno.
- Criação ou execução de
helper.exeem pasta de instalação não padrão após abertura de documento. - Uso de
WNetOpenEnumW,WNetEnumResourceWe monitoramentoWM_DEVICECHANGEpor processo sem função administrativa legítima. - Acesso a diretórios de documentos, downloads, imagens, compartilhamentos de rede e dispositivos removíveis em sequência de coleta.
A resposta defensiva deve priorizar o bloqueio da cadeia antes da entrega do segundo estágio. Macros em documentos recebidos de fora da organização devem permanecer desabilitadas por padrão, com exceções controladas e auditáveis. Ambientes que precisam processar documentos em idiomas ou temas sensíveis devem usar sandbox documental, análise de comportamento e políticas de isolamento para impedir que a aplicação de escritório escreva e execute binários no diretório temporário. A detecção precisa observar o comportamento, não apenas assinaturas de arquivo, porque os nomes de janela, exportações e strings variam entre versões.
No perímetro e em controles de saída, o ponto crítico é reduzir a capacidade de descoberta e validação de C2. O tráfego HTTP para destinos recém-resolvidos por domínios de aparência algorítmica deve ser analisado em conjunto com o processo de origem. FTP de saída a partir de estáções de trabalho deve ser bloqueado quando não houver necessidade de negócio; quando necessário, deve ser permitido apenas para destinos aprovados e com inspeção de autenticação, volume e periodicidade. A transferência de dados por FTP é central para Tonnerre, portanto esse controle reduz diretamente a utilidade do segundo estágio.
Para contenção, uma máquina suspeita deve ser isolada antes da coleta forense, porque o malware pode continuar enumerando compartilhamentos e dispositivos removíveis enquanto estiver ativo. A análise deve preservar documentos de isca, arquivos temporários, binários copiados, tarefas ou atalhos de persistência, histórico de DNS, conexões HTTP e sessões FTP. Como o malware coleta arquivos de pastas comuns e compartilhamentos, a revisão de permissões deve incluir quais recursos de rede estavam acessíveis ao usuário comprometido. A ação posterior deve validar se houve transferência de dados por FTP e quais diretórios foram tocados pela sequência de coleta.
A redução de exposição também passa por segmentação e privilégios. Usuários de alto risco, como equipes diplomáticas, imprensa, instituições acadêmicas, bancos estatais e pessoas ligadas a temas iranianos, devem ter perfis mais restritivos de execução de macro, menor acesso lateral por compartilhamentos e monitoramento reforçado de dispositivos removíveis. O objetivo não é tratar cada documento como incidente confirmado, mas impedir que uma isca política ou administrativa se transforme em coleta silenciosa de arquivos, telas e áudio com exfiltração externa.
- Desabilitar macros de documentos externos e exigir fluxo controlado para exceções legítimas.
- Bloquear execução de binários extraídos por aplicações de escritório em diretórios temporários.
- Restringir FTP de saída a destinos aprovados e alertar quando o usuário FTP coincidir com hostname interno.
- Monitorar DGA com TLDs
.site,.come.winquando houver sequência de resolução, checagem e contato HTTP. - Isolar hosts suspeitos antes de investigar compartilhamentos de rede e dispositivos removíveis acessados.
- Revisar permissões de pastas compartilhadas expostas à conta do usuário comprometido e validar evidências de exfiltração por FTP.
0 Comentários